杀毒 – 3ds Max 20220530更新

白嫖

MAX杀毒,3DMAX杀毒

版本支持:3DS MAX 2014 – 2023

更新直接覆盖安装exe即可

一键无脑安装/卸载包,时间就是金钱我的朋友
病毒变种越来越多,请关注并及时更新杀毒

更新内容:

2022.05.30:

  • 2023支持

2022.01.14:

  • 更新版本至3.43

2021.06.19:

  • 简化安装体验,全自动化嵌入图标,再也不需要手动拖拽到工具栏了
  • 没有啥毒更新,已经安装的用户可以无视这个版本

2021.05.13:

  • 增加3ds max 2022支持

2021.04.02:

  • 更新KRYPTIK病毒,该病毒导致场景打开保存巨久
  • 更新DesireFX.CA检测机制

2021.02.01:

  • 新增广告病毒免疫 – 模型打开会弹出广告弹窗 知末/模匠
  • 新增自定义ROOT属性清理

2020.10.26:

  • 新增ADSL病毒免疫
  • 修复CRP病毒弹窗警告
  • 新增MAX高版本下高清工具栏图标
  • 全新exe一键安装包,简化安装流程,抛弃mzp格式

目前已知7种病毒变种,会导致3ds Max:

  1. 无法使用撤销功能 Ctrl+z
  2. 删除场景灯光
  3. 删除场景模型
  4. 破坏启动文件夹排序第一的脚本
  5. 连续崩溃,3ds Max无法打开
  6. 损坏场景数据文件
  7. 场景出现无法删除的冻结辅助对象
  8. 无法手动保存场景
  9. 脚本控制器窗口弹出,显示类似于“ fn checkLicSerSubCleanBeta …”的项目
  10. 损坏或移除相机,灯光和材质
  11. 中断场景后或在关闭时选择“不保存”时强制自动保存
  12. 强制关闭3ds Max
  13. 无法保存V-Ray灯光
  14. 更改渲染设置。V-Ray:VFB大小、材质、GI设置等
  15. 收集隐私信息并发送到远程地址
  16. 自动后台下载更新并修改病毒
  17. 重命名场景中的所有对象,并在名称中添加广告前缀
  18. 使用站点广告在场景中创建文本(形状->文本)
  19. 在文件信息中植入站点广告
  20. 冻结视口
  21. 模型旋转漂移
  22. 在3Ds Max的根目录下创建mscprop.dll
  23. 场景加载/保存/自动保存/重启变得非常久
  24. 为场景对象创建不需要的自定义属性
  25. 创建不需要的rootScene属性和回调函数
    …….

回调脚本异常:

病毒工作原理粗略介绍:利用Maxscript 全局变量感染Max,在脚本自启动目录下生成病毒脚本,每次Max启动就会加载病毒。

当启动目录下的病毒mse文件不存在时,但又未清理Max本身被感染的恶意代码部分,就会弹出回调脚本异常

3ds Max官方自带的安全工具也无法彻底清理这些病毒(主要是官方更新太慢了,病毒出的变种又多):

病毒导致的无法保存:

杀毒包含3ds Max + 火绒两个部分

配合防毒效果完美

即使杀毒没有及时覆盖新病毒也可以防止病毒造成破坏

Max部分:

1.看隔壁选项卡max插件脚本安装教程

 

杀毒成功:

如果遇到MAX保存异常久,文件变大,请使用清理功能
清理前请保存,可能会卡很久

火绒部分:

下载并安装火绒个人版5.0 :官网地址

火绒规则压缩包内也有火绒安装包,下载日期2020年10月22日,打开无脑一键安装

然后在安全设置 – 高级防护中导入MAX防毒.json规则

在安全设置 – 高级防护中导入Max防毒规则

当打开被感染的Max文件时:

注意弹出的文件名以及路径,在maxdata的启动目录中且名字诡异。  在隔壁选项卡罗列出了目前已知的病毒脚本名称

只要弹出了这种警告就说明该Max文件已被感染。

阻止病毒脚本生成可以防止脚本对Max文件产生破坏,若没有被杀毒脚本清理恶意代码,打开该文件之后Max就会提示回调异常

火绒不能清除Max文件上的恶意代码,未被杀毒脚本清理成功发送给别人的时候还是具有感染性。

火绒的存在意义:提醒你有毒,阻止毒运行,但需要杀毒脚本来杀[/vc_column_text][/vc_column][/vc_row]

请不要使用管理员模式打开MAX

1.打开下载好的脚本插件exe,若是压缩包请先解压得到exe文件

2.无需多余操作无脑下一步安装

3.若之前安装了研几工具条,则按钮图标会自动出现在工具条的末端,如图:

4.若未安装过研几工具条,则按钮将出现在渲染按钮的右侧

 

按钮移动后下次打开恢复到上次的位置了?

改变MAX的ui需要单开max,操作好界面之后关闭之,才能正确保存。

切勿设置完后双开多开直接开工,ui界面将会以最后一个关闭的max保存。

vrdematpropalpha.ms

vrdematpropalpha.mse

vrdematpropalpha.msex

vraymatnetprop.mse

vrdematcleanbeta.ms

vrdematcleanbeta.mse

vrdematcleanbeta.msex​

vrdematcleanalpha.ms

vrdematcleanalpha.mse

vrdematcleanalpha.msex​

vrdestermatconvertor.ms

vrdestermatconverter.msex

vrdestermatconvertar.ms

vrayimportinfo.mse

PhysXPluginStl.ms

PhysXPluginStl.mse

mscprop.dll

Local_temp.ms

Local_temp.mse

PropertyParametersLocal.mse

 

ALC BETACLEANER

该病毒是第三方MaxScript(以下称为“ ALC”)脚本病毒,如果打开/合并包含损坏脚本的场景文件,则会意外损坏3Ds Max软件的设置并传播到Windows系统上的其他Max文件(* .max)(原始脚本被大量泛滥在各种在线资源下载的免费白嫖3ds Max文件中。)

该特定的MaxScript文件将作为脚本控制器嵌入到Max场景文件。

该脚本将自身保存到以下位置的隐藏文件:

%localappdata%/Autodesk/3dsMax/20xx - 64bit/对应语言/scripts/startup

病毒生成的文件:

  • vrdematcleanbeta.ms
  • vrdematcleanbeta.mse
  • vrdematcleanbeta.msex

病毒行为:

  • 使MAX崩溃或无法打开
  • 损坏场景文件
  • 空的辅助节点(¡××××和×××ü)冻结且无法删除
  • 无法手动保存场景,提示写入失败
  • 撤消就崩溃(Ctrl + Z)
  • 显示MaxScript错误
  • 损坏或移除相机,灯光/材质
  • 重置场景或关闭时选择“不保存”时强制自动保存
  • 强制关闭3Ds Max
  • 无法保存V-Ray灯灯光

CRP BSCRIPT

该病毒是第三方MaxScript(以下称为“ ALC”)脚本病毒,如果打开/合并包含损坏脚本的场景文件,则会意外损坏3Ds Max软件的设置并传播到Windows系统上的其他Max文件(* .max)(原始脚本被大量泛滥在各种在线资源下载的免费白嫖3ds Max文件中。)

当打开场景时,该病毒也会由ALC betacleaner生成。病毒会破坏MaxScript启动文件夹中的所有脚本,并向其中添加恶意代码。

病毒行为:

  • 撤消功能(Ctrl + Z)损坏,切换到其他视口后不再起作用
  • 场景灯可能会消失或删除
  • 场景素材可能已删除
  • MaxScript启动文件夹中的脚本被修改并添加病毒代码

ALC2 ALPHA

ALC BETACLEANER行为相同,但在3Ds Max环境中创建不同的病毒文件和全局变量

该脚本将自身保存到以下位置的隐藏文件:

%localappdata%/Autodesk/3dsMax/20xx - 64bit/对应语言/scripts/startup

病毒生成的文件:

  • vrdematcleanalpha.ms
  • vrdematcleanalpha.mse
  • vrdematcleanalpha.msex
  • vrdestermatconvertor.ms
  • vrdestermatconverter.msex
  • vrdestermatconvertar.ms
  • vrayimportinfo.mse

ALC3 ALPHA

ALC BETACLEANER行为相同,但有一些区别。

该病毒会自行下载更新!

病毒行为:

  • 打开3Ds Max时崩溃
  • 空的辅助节点,冻结且无法删除
  • 撤消崩溃(Ctrl + Z)
  • 显示各种MaxScript错误
  • 更改渲染设置(V-Ray):VFB大小,材质,GI设置等
  • 从VFB中保存渲染小图发送到远程电子邮件地址
  • 收集系统信息并发送到远程电子邮件地址  IP,MAC,HDD信息,内存,CPU,3Ds Max版本等
  • 将收集的数据从虚假电子邮件从sss777_2000@126.com (nfkxovtedspjgedv)发送到rrr888_3000@126.com
  • 从网址 http://www.maxscript.cc/update/upscript.mse 自动下载更新

该脚本将自身保存到以下位置的隐藏文件:

%localappdata%/Autodesk/3dsMax/20xx - 64bit/对应语言/scripts/startup

病毒生成的文件:

  • vrdematpropalpha.ms
  • vrdematpropalpha.mse
  • vrdematpropalpha.msex

DESIRE FX CA

当打开场景或合并病毒对象时触发病毒。该病毒是由desirefx网站流出的

病毒为对象rootscene(这是系统对象,不能删除)编写自定义属性,并在打开场景或合并某些内容时运行。

病毒行为:

  • 重命名场景中的所有对象,在名称中添加广告前缀
  • 使用广告文字在场景中创建文字对象
  • 在文件信息中植入广告
  • 冻结视口

PHYSXPLUGINMFX

PhysXPluginMfx(ALC2,ALC,CRP和ADLS的变种)一种针对大型企业、有计划攻击的病毒。由一群黑客开发,用于工业间谍活动。
该病毒与钓鱼网站的第三方插件一起提供,可以破坏3ds Max软件的设置,运行恶意代码,传播到其他3Ds Max文件(* .max)并将收集的个人数据发送到韩国的C&C服务器。
该病毒的特征如ALC,ADS和CRP相似,并创建下一个文件:

%localappdata%/Autodesk/3dsMax/20xx - 64bit/对应语言/scripts/startup

病毒生成的文件:

  • PhysXPluginStl.ms
  • PhysXPluginStl.mse

病毒行为:

  • 在用户的启动脚本文件夹中创建病毒文件,如PhysXPluginStl.mse
  • “ * .mse”文件使用了base64混淆编码的.NET 4.5程序集
  • 将个人信息发送到第三方服务器

ALIENBRAINS (MSCPROP.DLL)

该病毒是第三方的MaxScript(以下称为“ Alienbrains”),损坏3ds Max的安装和MAX场景文件,打开、合并时感染MAX场景文件
Alienbrains病毒会减慢场景速度:加载,保存,自动保存和重新启动。

打开场景时,还导致模式错误“运行时错误:FileStream无法创建…”


如果Windows系统中的UAC被禁用,则该病毒可以在3Ds Max根目录创建病毒文件:mscprop.dll

病毒行为:

  • 在3Ds Max根目录下创建mscprop.dll
  • 非常长的场景加载/保存/自动保存/重启时间
  • 为对象创建不需要的自定义属性
  • 创建不需要的rootScene属性和回调函数
  • 显示各种MaxScript错误(请参见下面的屏幕截图)
  • 无法使用撤消功能(Ctrl + Z)
  • 在“%localappdata%/Temp/”中创建Local_temp.ms文件
%localappdata%/Temp/Local_temp.ms
%localappdata%/Temp/Local_temp.mse
C:/Program Files/Autodesk/MAX版本/mscprop.dll
C:/Program Files/Autodesk/MAX版本/stdplugs/PropertyParametersLocal.mse

AD WEB CA 广告类型病毒

病毒行为:

  • 在MAX文件打开时强行弹窗广告
  • 在场景中创建广告文本
  • 导致视口速度变慢